[Tecnico] Problemi con la seconda rete

NNeliommiosch84 · 2024-08-17T10:52:39+00:00

[Tecnico] Problemi con la seconda rete

Ehi oh

E’ passato un po’ di tempo dall’ultima volta che vi ho contattato, ho avviato un piccolo laboratorio casalingo circa sei mesi fa, è strutturato come segue:

Purtroppo non ho più accesso ogni giorno a tutti i servizi http/https nella sottorete opnsense, opnsense appare online nel router, ma l’accesso al mio homelab non è più possibile, l’accesso IP diretto di solito funziona completamente, solo http/https non funziona affatto.

Un riavvio del router Swisscom fa sparire tutti i problemi. (Per il resto il router funziona senza problemi con la sottorete Swisscom)

Non sono proprio sicuro di quali dettagli aggiungere qui al momento, quindi lo lascerò stare.

Grazie per qualsiasi aiuto per risolvere questo problema!

Werner · 2024-08-17T12:42:15+00:00

@Neliommiosch84

Secondo altri due tuoi thread, negli ultimi mesi hai lavorato sperimentalmente su diverse soluzioni speciali nella tua area di rete.

Se qualcuno vuole partecipare alla discussione sulle nuove domande, penso che sia importante leggere in anticipo i thread precedenti, quindi li collegherò qui:

[https://community.swisscom.ch/t5/sicherheit-im-Internet/DMZ-Firewall-und-WLAN/td-p/791751](https://community.swisscom.ch/t5/sicherheit-im- Internet/DMZ-Firewall-e-WLAN/td-p/791751)

e anche:

[https://community.swisscom.ch/t5/Internet-general/DNS-Server-aus-anderem-Subnetz/m-p/815635#M71908](https://community.swisscom.ch/t5/Internet-general/ server DNS da un’altra sottorete/m-p/815635#M71908)

Al momento non mi sento in grado di farlo da solo, poiché non ho idea se stai lavorando con reti strettamente separate o con una rete ibrida che include un percorso statico, che tipo di costrutto DNS è attualmente attivo e in quale rete In realtà ci sono i clienti che attualmente stanno causando problemi 🙂

NNeliommiosch84 · 2024-08-17T14:09:17+00:00

Ciao @Werner

Grazie per il link, sarebbe stata una buona idea!

Ho optato per le 2 reti separate, raggiungibili tramite percorso statico, quindi sospetto la variante ibrida.

Il DNS è entrambi separati.
Un server DNS per i client Swisscom, due DNS (pihole/adghome) tramite OPNsense per i server nella “rete server”.

Ho la sensazione che il DNS qui non sarà quasi un problema, poiché viene gestito da un dispositivo separato all’interno della sottorete Ibox di Swisscom e quindi il mio PC può risolvere il DNS in qualsiasi momento mentre OPNsense Net è “inattivo”.

Anche con il proxy inverso ho meno problemi, perché alla fine per risolvere il problema era sempre necessario un riavvio del router Swisscom.

In realtà l’intera rete Opnsense causa problemi, ma ho sempre più la sensazione che il problema non sia OPNSense, come sempre sospettavo, bensì lo Swisscom IBox, poiché è responsabile del percorso statico.

Quello che mi chiedo è anche se, in teoria, attualmente ci sono diversi 10.X che causano qualcosa che trabocca?

Ho sentito parlare di una sorta di overflow del Nat Table o qualcosa del genere.

Werner · 2024-08-17T14:51:04+00:00

@Neliommiosch84

Come già accennato in precedenza, il mio approccio sarebbe quello di evitare il “miscuglio” nelle reti e il conseguente aumento inutilmente della complessità il più presto possibile durante la progettazione.

Quindi la mia soluzione sarebbe ancora:

- tutti i client (eccetto forse i blue TV box) direttamente nella rete dietro pfSense

- Elimina il percorso statico tra IB e la rete in cascata per una chiara separazione della rete e una maggiore sicurezza

Ciò significa che non avreste più possibili effetti collaterali dell’operazione combinata, perché DHCP e DNS sarebbero quindi centralizzati per tutto su pfSense.

A proposito, sono felice di lasciare che @r00t giudichi i tuoi attuali problemi con l’approccio ibrido, perché a differenza di me, al momento ha effettivamente una rete pfSense in funzione.

PowerMac · 2024-08-17T14:55:20+00:00

@Neliommiosch84 ha scritto:

[…] Purtroppo non ho più accesso ogni giorno a tutti i servizi http/https nella sottorete opnsense, opnsense appare online nel router, ma l’accesso al mio homelab non è più possibile, accesso IP diretto di solito funziona completamente, solo http/https non funziona affatto.

Cosa intendi esattamente con “l’accesso IP diretto funziona la maggior parte delle volte”? Suono? E da dove non funzionano http e https; dall’esterno (Internet) o dalla rete domestica?

Un’altra domanda sulla tua rete di server: quanto è grande? /24 o /16 o qualcosa nel mezzo?

Ho letto brevemente gli altri due thread (lunghi) e ho riassunto le cose più importanti dal mio punto di vista (correggetemi se ho frainteso qualcosa):

- Sull’opnsense (o è un pfsense secondo alcuni dei tuoi post?!?) NAT è disabilitato

- L’opnsense è configurato come host DMZ sul box Internet

- Sul box Internet è predisposto un percorso statico per la rete di server tramite opnsense

- Il server DHCP nella rete domestica è l’IB, per cui consenti ai client di utilizzare il proprio risolutore DNS nella rete del server (o funziona nella rete del client?) utilizzando l’opzione 6

- Il server DNS si trova nella tua rete di server, con opnsense (pfsense?) configurato come proxy DNS

- I client (LAN/WLAN) funzionano tutti direttamente sull’IB e non sulla rete del server, quindi non esiste più un proxy IGMP sull’opnsense

È lecito notare che hai già messo insieme un costrutto piuttosto complesso di potenziali fonti di errore…

NNeliommiosch84 · 2024-08-17T15:12:15+00:00

Ehi @PowerMac

Grazie per la risposta!

- Attualmente parlo sempre dell’accesso dalla rete domestica, la rete direttamente dietro l’IBox Swisscom dove vivono tutti i clienti.
Anche l’accesso http/https si riferisce a questo, ad esempio ho Jellyfin sull’ip xyz:8096 e tramite proxy inverso su Jellyfin.miodominio.com posso quindi accedere ai servizi direttamente tramite IP, ma non con il dominio .
- È un opnsense, una volta era un pfsense, ma non ero più così a mio agio con l’attuale situazione di netgate.
- Al momento ho disattivato la DMZ perché al momento è possibile accedere all’homelab solo dall’esterno tramite VPN.
- L’Internet box ha due percorsi statici, uno è la rete di server -> una sottorete per tutti gli host fisici e uno nella rete VM/container, una sottorete per tutti i servizi, contenitori, VM e LXC.
- DHCP è l’Ibox e nella rete di server OPNsense.
- In teoria potrei staccare il cavo LAN dalla rete del server e avere la mia rete domestica Swisscom già esistente, del tutto “normale”.
- Proprio i client della mia rete domestica Swisscom vengono indirizzati tramite Option6 ad un RaspberryPi con Pihole.
- Tutti i server hanno registrato OPNsense come server DNS, che inoltra le richieste a un Pihole/AdguardHome in esecuzione sui server.
- Esattamente corretto, il proxy IGMP non è su OPNsense, perché OPNSense ha in realtà solo server dietro di sé.

Grazie mille per il tuo aiuto!

E scusate per i pochi dettagli all’inizio!

NNeliommiosch84 · 2024-08-17T15:17:34+00:00

@“x”#234740Mi piacerebbe implementare il tuo approccio, che capisco perfettamente, ma sfortunatamente non è affatto possibile perché i server sono a circa 50 metri dall’IBox e la connessione principale è relativamente difficile da spostare, l’ho già fatto che spesso cercava di bastare.

Attualmente l’IBOX si trova sulla connessione principale di Swisscom, ma poiché lì lo spazio a disposizione è limitato, non è realmente possibile collegare lì l’opnsense.

Werner · 2024-08-17T15:32:22+00:00

@Neliommiosch84

Perché dovresti posizionare l’appliance OpenSense direttamente accanto all’Internet box per una rete veramente separata?

Dove si trova adesso probabilmente è collegato ad un cavo LAN e questo può essere lungo fino a 100 metri.

Hai anche un ulteriore problema di cablaggio fisico della LAN?

NNeliommiosch84 · 2024-08-17T15:52:13+00:00

@“x”#234740No, poiché attualmente ho i miei server, incluso Opnsense, nel seminterrato e lì posso far passare solo un singolo cavo LAN (a causa della mancanza di spazio nei tubi nel muro), non ho potuto connettere i client di casa rete dietro OPNsense, quindi i miei clienti devono rimanere dietro l’IBox nella rete domestica e uno scambio in alto non è possibile perché richiede 2 cavi (uno in basso, uno in alto).

Scusate, ma ho già trattato questo argomento troppe volte, qui su Reddit, forum Opnsense, ecc.
NON È POSSIBILE ALTRIMENTI!

Vorrei quindi provare a risolvere gli altri problemi della situazione attuale.

Grazie comunque per la soluzione alla modifica della struttura della rete.

Werner · 2024-08-17T16:05:20+00:00

@Neliommiosch84

E come appendice generale sul numero di possibili client direttamente nella rete di un Internet Box:

In passato gli utenti hanno segnalato più volte problemi con i box Internet quando si tratta di un numero molto elevato di client nella rete domestica.

Non è chiaro quali siano i limiti dimensionali specifici, ma sulla base di varie esperienze pratiche è diventato chiaro che qualsiasi cosa con più di 60-80 client può rappresentare un problema ripetutamente.

I limiti massimi nell’area WLAN sono comunque più chiari, perché a seconda dei driver WLAN utilizzati ci sono 32 o 64 client WLAN per banda WLAN, a seconda del modello specifico.

Per farla breve, gli Internet box sono dispositivi puramente SOHO per utenti comuni e un utilizzo che si discosta notevolmente dal consueto profilo utente porta sempre in territori inesplorati, poiché si trova al di fuori di qualsiasi scenario di test comunemente utilizzato.

PowerMac · 2024-08-18T11:58:46+00:00

@Neliommiosch84 ha scritto:

[…] Vorrei quindi cercare di risolvere gli altri problemi della situazione attuale.

L’unica cosa che capisco dal tuo post iniziale è la seguente

Sporadicamente si verificano problemi con l’accesso ai servizi http e https nella rete di server disconnessa tramite opnsense
La condizione di errore scompare per circa un giorno dopo il riavvio del box Internet

Per risolvere un problema è sempre utile capirlo prima nel modo più preciso possibile 😀

E per ottenere esattamente questo, dovresti lasciare lo stato di errore così com’è la prossima volta e poi testare cosa funziona ancora e cosa no. Quindi ad esempio:

Il ping va dalla rete dell’utente a Internet?
Il ping va dalla rete dell’utente alla rete del server interno?
Il ping va dalla rete del server interno alla rete dell’utente?
Il ping passa dalla rete di server interna a Internet?
È possibile il DNS nella rete dell’utente (se necessario, non utilizzare il proprio server DNS, ma quello dell’IB)?
Il DNS funziona nella rete di server interna?
L’accesso http/https proviene da Internet?
L’accesso http/https proviene dalla rete dell’utente?
L’accesso http/https proviene da un client all’interno della rete di server interna?
Interessa davvero solo i servizi http/https o anche altri?
ecc. ecc.

Quindi la prossima volta, non riavviare subito l’IB, ma piuttosto testare sistematicamente una cosa alla volta e restringere il campo dell’errore. Dividi e conquista.

NNeliommiosch84 · 1 set 2024

Piccolo aggiornamento per questo thread:

Dopo un lungo andirivieni si è scoperto che c’era un errore nel driver dei moduli di rete Intel i225 + i226. Questo problema era già stato corretto a monte ed è stato completamente risolto con un aggiornamento del BIOS a luglio.

https://forum.opnsense.org/index.php?topic=42368.msg210625#msg210625 -> https://forum.opnsense.org/index.php?topic=42240.0 -> https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=279245

Un enorme ringraziamento alla community OPNsense e ovviamente a tutti per il contributo!